Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Microsoft Cyber Security IT-Camp

541 visualizaciones

Publicado el

Das SlideDeck des Microsoft Cyber Security IT-Camps 2017/2018
Im Slidedeck werden Produkte wie Windows Defender AV, ATP und ApplicationGuard und ExploitGuard behandelt.

Publicado en: Tecnología
  • DOWNLOAD FULL eBOOK INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookeBOOK Crime, eeBOOK Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Responder 
    ¿Estás seguro?    No
    Tu mensaje aparecerá aquí
  • DOWNLOAD FULL eBOOK INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookeBOOK Crime, eeBOOK Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Responder 
    ¿Estás seguro?    No
    Tu mensaje aparecerá aquí
  • DOWNLOAD FULL eBOOK INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookeBOOK Crime, eeBOOK Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Responder 
    ¿Estás seguro?    No
    Tu mensaje aparecerá aquí

Microsoft Cyber Security IT-Camp

  1. 1. Alexander Benoit Alexander.Benoit@sepago.de http://it-pirate.com/
  2. 2. Fabio Gondorf Fabio.Gondorf@sepago.de www.trustintech.eu www.sepago.de
  3. 3. Windows Defender App-V Azure Information Protection Advanced Threat Analytics Multi-Faktor Access Bitlocker Active Directory Best Practices
  4. 4. 2016: Phishing-Angriff auf Clinton- Kampagne Ergebnis: 50,000 E-Mails landen auf Wikileaks… …was den Ausgang der Wahl möglicherweise beeinflusst hat
  5. 5. 2016: Phishing-Angriff auf Clinton- Kampagne Ergebnis: 50,000 E-Mails landen auf Wikileaks… …was den Ausgang der Wahl möglicherweise beeinflusst hat John Podesta (DNC) Chairman bei der Clinton- Kampagne Er war maßgeblich für den DNC-Leak verantwortlich Phishing scheinbar durch Tippfehler verursacht E-Mail selbst gehostet Keine Sicherheit / MFA Keine Verschlüsselung
  6. 6. Malicious Attachment Execution Browser or Doc Exploit Execution Stolen Credential Use Internet Service Compromise Kernel-mode Malware Kernel Exploits Pass-the-Hash Malicious Attachment Delivery Browser or Doc Exploit Delivery Phishing Attacks ATTACK ESPIONAGE, LOSS OF IPDATA THEFT RANSOMLOST PRODUCTIVITYBUSINESS DISRUPTION ENTER ESTABLISH EXPAND ENDGAME NETWORK DEVICE USER
  7. 7. Users know exactly when devices are set up for work
  8. 8. SCHÜTZEN, ERKENNEN UND REAGIEREN PRE-BREACH POST-BREACH Bedingter Zugriff Windows Defender ATP Einbruchserkennung: Untersuchung und Reaktion Schutz von Geräten Integrität der Geräte Gerätesteuerung Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection Absicherung gegen Bedrohungen SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender Windows Hello Credential Guard Schutz der Identitäten Schutz von Geräten Integrität der Geräte Gerätesteuerung Absicherung gegen Bedrohungen SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender DER WINDOWS 10-SICHERHEITSSTACK
  9. 9. On-Premises Cloud Windows 10 Enterprise Device Windows 10 Defense Stack & Supporting Technologies Windows Hello for Business Windows Information Protection Windows Defender Credential Guard Advanced Threat Analytics Microsoft Bitlocker Administration & Management Windows Defender Advanced Threat Protection Device Guard KMCI Bitlocker AppLocker Health Attestation User Account Control Active Directory Active Directory Federation Services Device Guard UMCI Azure Active Directory Device Identity Data Application EFS Windows Server 2012 AD RMS FCI Azure RMS / Azure Information Protection SmartScreen Conditional Access Security Baseline
  10. 10. POST-BREACHPRE-BREACH Breach detection investigation & response Device protection Identity protection Information protection Threat resistance
  11. 11. Bedrohungsschutz über die Zeit Angreifer nutzen die Zeit zwischen den Releases aus P R O D U K T - V E R F Ü G B A R K E I T B E D R O H U N G S - R A F I N E S S E Z E I T FAÄHIGKEITEN Änderungen mit Windows und Software as a Services Angriffsszenarien werden durch permanente Innovation zerstört Schutzlücke
  12. 12. Vulnerabilities are increasing while evidence of actual exploits is decreasing due to mitigation investments
  13. 13. UMFASSENDER SCHUTZ VOR BEDROHUNGEN Extern Intern SmartScreen Windows-Firewall Device GuardWindows Defender Office ATP Microsoft Edge mit Application Guard
  14. 14. Biometrische Sensoren Virtualisierung Kryptographische Verarbeitung Integrität der Geräte SCHUTZ VON GERÄTEN ROOTS OF TRUST-SICHERHEIT
  15. 15. (Upgraded from Windows 7 or 32-bit Windows 8) POST-BREACHPRE-BREACH Breach detection investigation & response Device protection Identity protection Information protection Threat resistance
  16. 16. (Fresh Install or upgraded from 64-bit Windows 8) POST-BREACHPRE-BREACH Breach detection investigation & response Device protection Identity protection Information protection Threat resistance
  17. 17. Trusted Platform Module (TPM) Threat Windows 10 Investments Mitigation Windows 10 Changes
  18. 18. UEFI Secure Boot Threat Windows 10 Changes Mitigation Considerations How does it work
  19. 19. Kernel Mode Code Integrity in Device Guard UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker Threat Mitigation Note ROM/Fuses Bootloaders Native UEFI Windows OS Loader Windows Kernel, Boot Drivers, System Files ELAM, AV Driver, and 3rd Party Drivers User mode code (apps, etc.)
  20. 20. 0 2 4 6 8 10 12 14 16 2008 2009 2010 2011 2012 2013 2014 2015 2016 2 1 6 5 14 55 6 12
  21. 21. Sicherheitsinnovationen: Den bösen Buben das Leben schwerer machen No mitigations • DEP • /GS • SafeSEH • Heap hardening v1 • ASLR v1 • SEHOP • Heap hardening v2 • ASLR v2 • Kernel SMEP & DEP • Heap hardening v3 • CFG • HVCI • EMET Exploitation was not inhibited • Data can’t be executed as code • Protection for stack buffers, exception chains, and heap metadata • Memory layout is randomized • Improved protection for exception chains and heap metadata • Improved memory layout randomization • Improved protection for heap metadata & buffers • Only valid functions can be called indirectly • Kernel Mode secured • EMET functionality getting integrated
  22. 22. © 2016 DigitalGlobe, © 2016 HERE DUBROVNIK, KROATIEN EIN EINZIGER EINBRUCH KOMPROMITTIERT ALLE KOMPONENTEN
  23. 23. © 2016 HERE CARCASSONNE, FRANKREICH WICHTIGE KOMPONENTEN SIND GETRENNT UND GESCHÜTZT
  24. 24. TRADITIONELLER PLATTFORM-STACK Gerätehardware Kernel Windows Platform Services Apps
  25. 25. VIRTUALISIERUNGSBASIERTE SICHERHEIT WINDOWS 10 Kernel Windows Platform Services Apps Kernel SystemContainer TrustletNr.1 TrustletNr.2 TrustletNr.3 Hypervisor Gerätehardware Windows-Betriebssystem Hyper-VHyper-V
  26. 26. VIRTUALISIERUNGSBASIERTE SICHERHEIT PREVIEW 2016 RTM 2017 Hypervisor Gerätehardware Kernel Apps Windows Platform Services Kernel Windows Platform Services Microsoft Edge Kernel SystemContainer Wichtige Systemprozesse AppContainer Windows-Betriebssystem Hyper-V Hyper-V
  27. 27. Hypervisor VIRTUALISIERUNGSBASIERTE SICHERHEIT NACH 2017 Gerätehardware Windows Platform Services Windows Platform Services SystemContainer KernelKernel Kernel Wichtige Systemprozesse Apps AppContainer Windows-Betriebssystem Hyper-V Hyper-V
  28. 28. Virtualization Based Security Overview Feature Configuration Options Kernel Windows Platform Services Apps Kernel SystemContainer Trustlet#1 Trustlet#3 Hypervisor Device Hardware Isolated LSA
  29. 29. DER WINDOWS 10-SICHERHEITSSTACK SCHÜTZEN, ERKENNEN UND REAGIEREN PRE-BREACH POST-BREACH Windows Defender ATP Einbruchserkennun g: Untersuchung und Reaktion Schutz von Geräten Integritätsnachweis Device Guard Gerätesteuerung Sicherheitsrichtlinien Schutz von Informationen Geräteschutz/Laufw erksverschlüsselung Windows Information Protection Bedingter Zugriff Absicherung gegen Bedrohungen SmartScreen AppLocker Device Guard Windows Defender Netzwerk/Firewall Integrierte zweistufige Authentifizierung Kontosperrung Überwachung von Anmeldeinfor Schutz der Identitäten Einbruchserkennung: Untersuchung und Reaktion Schutz von Geräten Schutz von Informationen Absicherung gegen Bedrohungen Bedingter Zugriff Windows Defender ATP Integrität der Geräte Gerätesteuerung BitLocker und BitLocker to Go Windows Information Protection SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender Windows Hello Credential Guard Schutz der Identitäten
  30. 30. Threat Microsoft SmartScreen Phishing and malware filtering technology for Internet Explorer 11 and Microsoft Edge in Windows 10.  URL Reputation Checks  Application Reputation Protection  Phishing Attacks  Social Engineered Malware  Deceptive Advertisements  Support Scams  Drive-by Attacks Mitigation
  31. 31. http://demo.smartscreen.msft.net/
  32. 32. • The Windows Defender SmartScreen provides an early warning system to notify users of suspicious websites that could be engaging in phishing attacks or distributing malware through a socially engineered attack. • Windows Defender SmartScreen is one of the multiple layers of defense in the anti-phishing and malware protection strategies Check downloaded files Windows Defender Cloud Protection Click! Attacker Generate new malware file Send file metadata Evaluate metadata Verdict: Malware – Block! Malware Block! Including Machine Learning, proximity, lookup heuristics Command & Control User
  33. 33. Block at first sight support in Microsoft Edge
  34. 34. Number of exploited web browser CVEs Number of days with known zero day exploit in the wild Number of Vulnerabilities (CVEs) by web browser
  35. 35. MICROSOFT EDGE: ENTWICKLUNG EINES SICHEREREN BROWSERS Die grundlegend verbesserte Sicherheit sorgt für eine vertrauenswürdigere Nutzung des Internets unter Windows 10 SCHUTZ DER BENUTZER (SmartScreen) (Microsoft Passport und Windows Hello) (Cert. Reputation, EdgeHTML, W3C Content Security Policy, HTTP Strict Transport Security) SCHUTZ DES BROWSERS www Neues (Universelle Windows-Plattform) (Windows Address Space Layout Randomization auf 64-Bit-Systemen) (MemGC) (Control Flow Guard)
  36. 36. MICROSOFT EDGE SICHERHEITSVERBESSERUNGEN  Microsoft Edge und Flash haben keinen Vollzugriff auf win32k.sys—API-Aufrufe werden gefiltert  Nur 40 % der Schnittstellen stehen Flash und Edge zur Verfügung – dies verringert die Angriffsfläche Win32k.sys Flash Host-Prozess Edge Content-Prozess Vorher – Vollzugriff auf Win32.sys Microsoft Edge Windows Kernel Blockierte Win32k.sys-Schnittstellen Zulässige Win32k.sys-Schnittstellen Flash Host-Prozess Edge Content-Prozess Heute – 60 % weniger Schnittstellen verfügbar Microsoft Edge Windows Kernel  Der Flash-Player hat jetzt seinen eigenen AppContainer  Der Flash-Player wurde für einen besseren Speicherschutz gehärtet
  37. 37. HARDWARE ISOLIERUNG MIT WINDOWS DEFENDER APPLICATION GUARD  Verschiebt Browsersitzungen in eine isolierte, virtualisierte Umgebung  Sorgt für einen erheblich besseren Schutz und härtet den beliebtesten Zugang von Angreifern  Veröffentlicht in Windows 10 Fall Creators Update (1709) Hypervisor Gerätehardware Kernel Windows Platform Services Apps Kernel Windows Platform Services Microsoft Edge SystemContainer Kernel Wichtige Systemprozesse AppContainer Windows-Betriebssystem Hyper-V Hyper-V
  38. 38. Today’s Challenge APPS
  39. 39. DEVICE GUARD Windows-Desktops können für die ausschließliche Ausführung von vertrauenswürdigen Apps abgesichert werden (vergleichbar mit mobilen Betriebssystemen wie Windows Phone) Unterstützt alle Apps inkl. Universal- Desktop- Apps (Win32). Nicht vertrauenswürdige Apps und ausführbare Dateien wie Malware können nicht gestartet werden Die Apps müssen vom Microsoft- Signierungsdienst signiert werden. Keine weiteren Modifikationen erforderlich. Hardwarebasierte App-Kontrolle
  40. 40. erstellen Audit Mode Golden Client Golden Policy Default Client Root CA Finale Policy bestehend aus Golden Policy + Audit Policy Windows Store for Business Code Integrity Policy
  41. 41. Kernel Mode Code Integrity in Device Guard UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker Threat Mitigation Note ROM/Fuses Bootloaders Native UEFI Windows OS Loader Windows Kernel, Boot Drivers, System Files ELAM, AV Driver, and 3rd Party Drivers User mode code (apps, etc.)
  42. 42. Overview Application Signing Options  Download default Device Guard configurable CI policy.  Catalog signing with enterprise-specific, unique keys.  Available to OEMs, IHV, ISVs, and Enterprises. Code Integrity Policy Requirements
  43. 43. SCHÜTZEN, ERKENNEN UND REAGIEREN PRE-BREACH POST-BREACH Bedingter Zugriff Windows Defender ATP Einbruchserkennung: Untersuchung und Reaktion Schutz von Geräten Integrität der Geräte Gerätesteuerung Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection Absicherung gegen Bedrohungen SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender Windows Hello Credential Guard Schutz der Identitäten Windows Hello Credential Guard Schutz der Identitäten Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection DER WINDOWS 10-SICHERHEITSSTACK
  44. 44. MODERNE SICHERHEITSHERAUSFORDERUNGEN: PASS THE HASH-ANGRIFFE Pass the Hash-Angriffe haben sich von einer theoretischen zu einer ganz konkreten Bedrohung entwickelt Sie ermöglichen einem Angreifer über gängige Hacking-Tools wie MimiKatz, Benutzeranmeldeinformationen zu entwenden Danach kann ein Angreifer häufig weitere abgeleitete Anmeldeinformationen entwenden und sich im Netzwerk bewegen Der Angreifer kann sich häufig auch bei einer Entdeckung im Netzwerk halten, indem er von einer Identität zur nächsten wechselt
  45. 45. Credential Guard • Credential Guard isolates secrets that previous versions of Windows stored in the Local Security Authority (LSA) by using virtualization-based security. • The LSA process in the operating system talks to the isolated LSA by using remote procedure calls. • Data stored by using VBS is not accessible to the rest of the operating system. • This prevents Pass-the-Hash and Pass-the-Ticket attacks
  46. 46. DER WINDOWS 10-SICHERHEITSSTACK SCHÜTZEN, ERKENNEN UND REAGIEREN PRE-BREACH POST-BREACH Windows Defender ATP Einbruchserkennun g: Untersuchung und Reaktion Schutz von Geräten Integritätsnachweis Device Guard Gerätesteuerung Sicherheitsrichtlinien Schutz von Informationen Geräteschutz/Laufw erksverschlüsselung Windows Information Protection Bedingter Zugriff Absicherung gegen Bedrohungen SmartScreen AppLocker Device Guard Windows Defender Netzwerk/Firewall Integrierte zweistufige Authentifizierung Kontosperrung Überwachung von Anmeldeinfor Schutz der Identitäten Einbruchserkennung: Untersuchung und Reaktion Schutz von Geräten Schutz von Informationen Absicherung gegen Bedrohungen Bedingter Zugriff Windows Defender ATP Integrität der Geräte Gerätesteuerung BitLocker und BitLocker to Go Windows Information Protection SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender Windows Hello Credential Guard Schutz der Identitäten
  47. 47. “K$23m=?14)Xz3Ö ist ein gutes Passwort…”    
  48. 48. Benutzer Die von uns verwendeten Websites stellen eine Schwachstelle dar Angreifer 1 Social .com Bank .com Netzwerk .com LOL .com Obscure .com 1 2 INTERNET – BENUTZERNAME UND KENNWORT
  49. 49. 2-Faktor Authentifizierung Mit Windows Hello 1. Gerät Etwas, was der User hat (ggf. Mit TPM) 2. “Geste” 2a. PIN Etwas, was der User weiß 2b. Biometrische Anmeldung Etwas, was der User ist
  50. 50. 2-Faktor Authentifizierung Mit Windows Hello Dienste Hello ermöglicht Authentifizierung bei: - Microsoft-Konto - Active Directory-Konto - Microsoft Azure Active Directory (Azure AD)-Konto - Fast ID (FIDO) v2.0
  51. 51. FIDO ALLIANCE Example board level members
  52. 52. 2-Faktor Authentifizierung Mit Windows Hello Biometrie Hello unterstützt die biometrische Anmeldung via: • Fingerabdruck • IRIS Scan • 3D-Gesichtserkennung • benötigt spezielle Infrarotkamera • z.B. Intel RealSense
  53. 53. Identitätsanbieter Active Directory Azure AD Google Facebook Microsoft-Konto 1 Benutzer 2 Windows10 3Intranet- Ressource 4 4Intranet- Ressource WINDOWS HELLO – SCHLÜSSELBASIERTE AUTHENTIFIZIERUNG Wie funktioniert Windows Hello?
  54. 54. Gründe für Windows Hello Gerätelokale Authentifizierung • Vorgang findet lokal statt • Authentifizierungsinformationen liegen nur lokal vor • PIN und/oder biometrische Informationen werden nicht übermittelt und verlassen das Gerät nicht
  55. 55. Gründe für Windows Hello Gerätegebundene Authentifizierung • Die Anmeldung ist nur für das Gerät gültig, auf dem Hello eingerichtet wurde Benutzergebundene Authentifizierung • Die Anmeldung ist nur für den Benutzer gültig, für den Hello eingerichtet wurde Credentials können nicht weiterverwendet werden!
  56. 56. Gründe für Windows Hello Anmeldung mit PIN • Auch eine PIN ist sicherer als ein Passwort! Denn sie ist • Gerätespezifisch • Gerätelokal • Wird nicht übermittelt • PIN kann beliebig komplex sein • Auch Passwörter als PIN möglich
  57. 57. Gründe für Windows Hello Biometrische Anmeldung • Hoher Komfort für Anwender •Schnelle Anmeldung, ohne darüber nachzudenken •Hohe Sicherheit • Genaue biometrische Verfahren • Niedrige FAR / FRR
  58. 58. SCHÜTZEN, ERKENNEN UND REAGIEREN PRE-BREACH POST-BREACH Bedingter Zugriff Windows Defender ATP Einbruchserkennun g: Untersuchung und Reaktion Schutz von Geräten Integrität der Geräte Gerätesteuerung Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection Absicherung gegen Bedrohungen SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender Windows Hello Credential Guard Schutz der Identitäten Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection Bedingter Zugriff Windows Defender ATP Einbruchserkennung: Untersuchung und Reaktion DER WINDOWS 10-SICHERHEITSSTACK
  59. 59. 2HIPPA Secure Now, “A look at the cost of healthcare data breaches,” Art Gross, 30. März 2012 … haben schon einmal versehentlich sensible Informationen an einen falschen Empfängergeschickt.1 58% … der Führungskräfte speichern regelmäßig berufliche Dateien in einem privaten E-Mail-oder Cloud-Konto.1 87% … Durchschnittskosten pro Datensatz bei einem Datenverlust.2 240USD PRO DATENSATZ 1Stroz Friedberg, “On The Pulse: Information Security In American Business,” 2013 DATENVERLUSTE
  60. 60. SCHUTZ VON GERÄTEN TRENNUNG VON DATEN SCHUTZ VOR LEAKS SCHUTZ BEI WEITERGABE SCHUTZ VON GERÄTEN BitLocker- Erweiterungen in Windows 8.1 InstantGo Adaption durch Drittanbieter TRENNUNG VON DATEN SCHUTZ VOR LEAKS SCHUTZ BEI WEITERGABE BitLocker WindowsInformationProtection AzureRights Management ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ Office365
  61. 61. Moderne Geräte sind möglicherweise bereits standardmäßig über die BitLocker-Technologie verschlüsselt TPM wird immer häufiger eingesetzt TPM ist seit Ende 2015 auf allen neuen Windows- Geräten vorhanden Einfachere Bereitstellung und eine hohe Sicherheit, Zuverlässigkeit und Leistung Einzelanmeldung für moderne Geräte und für konfigurierbare Windows 7-Hardware An Unternehmen ausgerichtete Verwaltung (MBAM) und Compliance (FIPS) VERSCHLÜSSELUNG VON GERÄTEN BitLocker
  62. 62. • Full drive encryption solution provided natively with Windows 10 Professional and Enterprise • Used to protect the operating system drive, secondary data drives and removable devices • System Center Configuration Manager, MDT and Intune can be used to deploy BitLocker Overview
  63. 63. Overview Recommendations
  64. 64. XTS-AES encryption algorithm New Group Policy for configuring pre- boot recovery Encrypt and recover your device with Azure Active Directory
  65. 65. - Bei Änderungen an der Hard- und Software muss BitLocker u.U. neu aktiviert werden, da der TPM-Chip verschiedene Systemwerte beim Start prüft BITLOCKER Einschränkungen - Kein Schutz vor „Online“-Angriffen: Wenn das System gestartet wurde, ist die Bootfestplatte entschlüsselt. - Nur ausschalten des Systems hilft hier Ggf. Standby deaktivieren (GPO)
  66. 66. SCHUTZ VON GERÄTEN TRENNUNG VON DATEN SCHUTZ VOR LEAKS SCHUTZ BEI WEITERGABE SCHUTZ VON GERÄTEN Schutz des Systems und der Daten im Fall von verlorenen oder gestohlenen Geräten Eindämmung Trennung der Daten TRENNUNG VON DATEN Verhindern des Zugriffs durch nicht autorisierte Apps SCHUTZ VOR LEAKS ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
  67. 67. LÖSUNGEN ZUM SCHUTZ VOR DATENVERLUSTEN Mobile Plattformen Einsatz von Containern Schlechtere Benutzererfahrung Einfache Bereitstellung Geringe Kosten Desktop-Plattform Beschränkte Plattformintegration Bessere Benutzererfahrung Schwierige Bereitstellung Höhere Kosten
  68. 68. WINDOWS INFORMATION PROTECTION Verhindert den Zugriff auf Unternehmensdaten durch nicht autorisierte Apps und Leaks durch Benutzer über Copy&Paste. Nahtlose Integration in die Plattform. Kein Wechseln oder Starten von Apps erforderlich. Integrierter Schutz vor ungewollten Daten-Leaks Bereitstellung mit Windows 10 Anniversary Update Schützt lokal und auf mobilen Datenträgern gespeicherte Daten. Eine Umgebung auf allen Windows 10-Geräten mit Schutz gegen Copy&Paste. Persönliche Daten und Unternehmensdaten werden identifiziert und können gelöscht werden.
  69. 69. WINDOWS INFORMATION PROTECTION LEBENSZYKLUS
  70. 70. SCHUTZ VON GERÄTEN TRENNUNG VON DATEN SCHUTZ VOR LEAKS SCHUTZ BEI WEITERGABE Eindämmung TRENNUNG BYOD- DATEN TRENNUNG VON DATEN Verhindern des Zugriffs durch nicht autorisierte Apps SCHUTZ VOR LEAKS Schutz der Daten bei der Weitergabe an andere oder außerhalb der Geräte und Kontrolle der Organisation SCHUTZ BEI WEITERGABE ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
  71. 71. SCHUTZ BEI WEITERGABE Schutz aller Dateitypen an jedem Ort – unterwegs, Cloud, E-Mail, BYOD etc. Unterstützung gängiger Geräte und Systeme – Windows, OSX, iOS, Android Unterstützung von B2B und B2B per Azure Active Directory Unterstützung von lokalen Szenarien und Cloud-basierten Szenarien (z. B. Office 365) Nahtlose und einfachere Bereitstellung und Unterstützung von FIPS 140-2-Richtlinien und Compliance-Vorgaben Rechteverwaltungsdienste Erhebliche Verbesserungen gegenüber Windows 7 Persistenter und nicht entfernbarer Schutz für die Daten
  72. 72. SCHÜTZEN, ERKENNEN UND REAGIEREN PRE-BREACH POST-BREACH Bedingter Zugriff Windows Defender ATP Einbruchserkennun g: Untersuchung und Reaktion Schutz von Geräten Integrität der Geräte Gerätesteuerung Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection Absicherung gegen Bedrohungen SmartScreen Windows-Firewall Microsoft Edge Device Guard Windows Defender Windows Hello Credential Guard Schutz der Identitäten Schutz von Informationen BitLocker und BitLocker to Go Windows Information Protection Bedingter Zugriff Windows Defender ATP Einbruchserkennung: Untersuchung und Reaktion DER WINDOWS 10-SICHERHEITSSTACK
  73. 73. ANGRIFFE PASSIEREN SCHNELL UND SIND SCHWER AUFZUHALTEN Wenn ein Angreifer eine E-Mail an 100 Mitarbeiter Ihres Unternehmens sendet, … … wird diese von 23 Mitarbeitern geöffnet, … … 11 Mitarbeiter von den 23 öffnen den Anhang … … und sechs Mitarbeiter machen dies innerhalb der ersten Stunde.
  74. 74. WINDOWS DEFENDER ADVANCED THREAT PROTECTION ERKENNEN VON ERWEITERTEN ANGRIFFEN UND BESEITIGEN VON EINBRÜCHEN Einzigartige Informationsdatenbank mit Bedrohungsinformationen Einzigartige Ressourcen ermöglichen detaillierte Profile der Akteure Bedrohungsdaten von Microsoft und Drittanbietern. Umfangreicher Untersuchungszeitraum Umfang des Einbruchs leicht zu überblicken. Verschieben von Daten auf Endpunkten. Tief greifende Datei- und URL-Analyse. Verhaltensbasierte und Cloud-gestützte Einbruchserkennung Aussagekräftige und korrelierte Alarme für bekannte und unbekannte Bedrohungen. Echtzeitdaten und Verlaufsdaten. In Windows integriert Keine zusätzliche Bereitstellung und Infrastruktur. Immer auf dem neuesten Stand bei geringen Kosten.
  75. 75. SIEM SIEM/ Central-UX Bedrohungsanalyse aus Partnerschaften Bedrohungsanalyse durch Microsoft-Experten Erkundung Alarme SecOps-Konsole Reaktion Forensische Sammlung Permanent aktive Ver- haltenssensoren auf Endpunkten Sicherheitsanalyse Verhalten aus IOAs-Verzeichnis Bewertung von Dateien und URLs Bekannte Bedrohungen unbekannt Windows Defender ATP-Mandant des Kunden Windows APT Hunters, MCS Cyber
  76. 76. Sichere Geräte Schutz von Informationen Sichere Identitäten Absicherung vor Bedrohungen AKTIVER SCHUTZ VOR BEDROHUNGENHARDWAREBASIERTES VERTRAUENVERHINDERUNG VON DATENVERLUSTZWEISTUFIGE AUTHENTIFIZIERUNG FÜR JEDEN
  77. 77. Microsoft Advanced Threat Analytics
  78. 78. The frequency and sophistication of cybersecurity attacks are getting worse. The median # of days that attackers reside within a victim’s network before detection 146 Sobering statistics $500BThe total potential cost of cybercrime to the global economy of all network intrusions are due to compromised user credentials >63% $3.8MThe average cost of a data breach to a company
  79. 79. Every customer, regardless of industry vertical, is either under attack or already breached. Banking and financial services Energy and telco Manufacturing EducationGovernment and public sector RetailHealth and social services
  80. 80. Designed to protect the perimeter Complexity Prone to false positives When user credentials are stolen and attackers are in the network, your current defenses provide limited protection. Initial setup, fine-tuning, and creating rules and thresholds/baselines can take a long time. You receive too many reports in a day with several false positives that require valuable time you don’t have.
  81. 81. Monitors behaviors of users and other entities by using multiple data sources Profiles behavior and detects anomalies by using machine learning algorithms Evaluates the activity of users and other entities to detect advanced attacks User and Entity Behavior Analytics UEBA Enterprises successfully use UEBA to detect malicious and abusive behavior that otherwise went unnoticed by existing security monitoring systems, such as SIEM and DLP.
  82. 82. Microsoft Advanced Threat Analytics brings the behavioral analytics concept to IT and the organization’s users. Behavioral Analytics Detection of advanced attacks and security risks Advanced Threat Detection An on-premises platform to identify advanced security attacks and insider threats before they cause damage
  83. 83. Detect threats fast with Behavioral Analytics Adapt as fast as your enemies Focus on what is important fast using the simple attack timeline Reduce the fatigue of false positives Prioritize and plan for next steps
  84. 84. Analyze1 After installation: • Simple non-intrusive port mirroring, or deployed directly onto domain controllers • Remains invisible to the attackers • Analyzes all Active Directory network traffic • Collects relevant events from SIEM and information from Active Directory (titles, groups membership, and more)
  85. 85. ATA: • Automatically starts learning and profiling entity behavior • Identifies normal behavior for entities • Learns continuously to update the activities of the users, devices, and resources Learn2 What is entity? Entity represents users, devices, or resources
  86. 86. Detect3 Microsoft Advanced Threat Analytics: • Looks for abnormal behavior and identifies suspicious activities • Only raises red flags if abnormal activities are contextually aggregated • Leverages world-class security research to detect security risks and attacks in near real-time based on attackers Tactics, Techniques, and Procedures (TTPs) ATA not only compares the entity’s behavior to its own, but also to the behavior of entities in its interaction path.
  87. 87. Alert4 ATA reports all suspicious activities on a simple, functional, actionable attack timeline ATA identifies Who? What? When? How? For each suspicious activity, ATA provides recommendations for the investigation and remediation
  88. 88. New and Improved Detections New Welcome Experience New Gateway Update Page Improved configuration experience User Experience Improvements SAMR Reconnaissance Detection Pass-the-Ticket Improvement Pass-the-Hash Improvement Abnormal Behavior Enhancements Unusual Protocol Implementation Improvement Infrastructure Enhancements Role Based Access Control Center & Gateway support for Windows Server 2016 Lightweight Gateway support for Windows Server Core
  89. 89. Abnormal resource access Account enumeration Net Session enumeration DNS enumeration SAM-R Enumeration Abnormal working hours Brute force using NTLM, Kerberos, or LDAP Sensitive accounts exposed in plain text authentication Service accounts exposed in plain text authentication Honey Token account suspicious activities Unusual protocol implementation Malicious Data Protection Private Information (DPAPI) Request Abnormal authentication requests Abnormal resource access Pass-the-Ticket Pass-the-Hash Overpass-the-Hash MS14-068 exploit (Forged PAC) MS11-013 exploit (Silver PAC) Skeleton key malware Golden ticket Remote execution Malicious replication requests Reconnaissance Compromised Credential Lateral Movement Privilege Escalation Domain Dominance
  90. 90.  Updates and upgrades automatically with the latest and greatest attack and anomaly detection capabilities that our research team adds Auto updates Integration to SIEM Seamless deployment  Analyzes events from SIEM to enrich the attack timeline  Works seamlessly with SIEM  Provides options to forward security alerts to your SIEM or to send emails to specific people  Software offering that runs on hardware or virtual  Utilizes port mirroring to allow seamless deployment alongside AD, or installed directly on domain controllers  Does not affect existing topology
  91. 91. INTERNET ATA GATEWAY 1 VPN DMZ Web Port mirroring Syslog forwarding SIEM Fileserver DC1 DC2 DC3 DC4 ATA CENTER DB Fileserver ATA Lightweight Gateway :// DNS
  92. 92. Captures and analyzes DC network traffic via port mirroring Listens to multiple DCs from a single Gateway Receives events from SIEM Retrieves data about entities from the domain Performs resolution of network entities Transfers relevant data to the ATA Center ATA GATEWAY 2 ATA GATEWAY 1 Port mirroring Syslog forwarding Fileserver DC1 DC2 DC3 DC4 ATA CENTER DB Fileserver Port mirroring SIEM :// DNS
  93. 93. Installed locally on light or branch-site Domain Controllers Analyzes all the traffic for a specific DC Provides dynamic resource limitation Retrieves data about entities from the domain Performs resolution of network entities Transfers relevant data to the ATA Center Fileserver DC1 DC2 DC3 DC4 ATA CENTER DB Fileserver ATA Lightweight Gateway ATA Lightweight Gateway SIEM :// DNS
  94. 94. Manages ATA Gateway configuration settings Receives data from ATA Gateways and stores in the database Detects suspicious activity and abnormal behavior (machine learning) Provides Web Management Interface Supports multiple Gateways ATA GATEWAY 1 Port-mirroring Syslog forwarding Fileserver DC1 DC2 DC3 DC4 ATA CENTER DB Fileserver ATA Lightweight Gateway SIEM :// DNS
  95. 95. DC1 10.10.1.1 DC2 10.10.1.2 DC3 10.10.1.3 SIEM ATA CENTER Port mirror group 1 Event forwarding to gateway 1 ATA GATEWAY 1 DC4 10.10.1.4 DC6 10.10.1.6 Mgmt adapter – 10.10.1.111 Computer Certificate – gateway1.contoso.com IIS – 10.10.1.101 Web Server Certificate – webata.contoso.com ATA Center – 10.10.1.102 Computer Certificate – center.contoso.com DNS ATA Lightweight Gateway ATA Lightweight Gateway ://
  96. 96. Q&A
  97. 97. alias@microsoft.com

×